Email-Worm.Win32.Fix2001

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」（例：Backdoors）または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか（すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか）電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング（例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ）、ネットワーク構成エラー（完全にアクセス可能なディスクへのコピーなど）を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク（例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL）として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた（起動された）ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです：ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています：MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル：ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います（一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します）。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム（Windows XP、Windows 7など）上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これはインターネットを介して広がるウイルスワームです。これは、 "Happy99"ワームと同様に動作します。システムに自身をインストールし、インターネットアクセスのWindows機能をフックし、インターネットアドレスを取得してそのコピーをどこに送信します。ワームはWinNTではなく、Win9xのみでバグと複製を行います。

このワームは、電子メールメッセージに添付された "Fix20001.Exe"ファイルとして表示されます。メッセージには「Internet problem year 2000」という件名があります。メッセージ本文は英語とスペイン語の2つの言語で書かれています。

Estimado Cliente：ロガモスは、実際の行動とは対照的に、2000年代のインターネット機能を修正しました.SiUd。 Windows 95/98ユーザーズガイドマイクロソフト（C）のソフトウェアダウンロード -  Fix2001- que seE-Mailに付随するエンクロージャマイクロソフト（C）HTTP://WWW.MICROSOFT.COMSi Ud。シスメス・オペラビショー、賛成、いいえコンサルタントはコンサルタントとしての責任を負います。ムチャス・グラシアス。管理官。インターネット顧客：あなたが以前にあなたの手術システムを確認したら、私たちは喜んでいます。インターネット接続の問題を避けるために2000年。Windows 95/98ユーザーの場合は、システムをチェックすることができますこの電子メールに添付されているFix2001アプリケーションを使用してMicrosoft（C）Webサイトからダウンロードしてください：HTTP://WWW.MICROSOFT.COM別のオペラティブシステムを使用している場合は、待ってはいけません2000年まで、お使いのOSのテクニカルサポートにお尋ねください。ありがとう。管理者。

このワームには、添付のデータを電子メールメッセージで生成して送信するためのテキスト文字列と、テキストも含まれています。

RCPT TO： @ hotmail.com>@ ciudad.com.ar>Fix2001幸せな生活を送るための本当の鍵は、良い人になることです。ラ・ヴェルデデラ・フェリシド、SE UN BUEN TIPOのPARA CONSEGUIR

インストール

添付ファイル（ワーム自体）は約12KbのWindows実行ファイルです。実行されると、FIX2001.EXEの名前でシステムのWindowsディレクトリに自身をインストールし、 "Run ="システムレジストリキーに自身を登録して、各Windowsの再起動時にそのコピーをアクティブにします。

HKEY_LOCAL_MASHINESoftwareMicrosoftWindowsCurrentVersionRunFix2001 = "FIX2001.EXE"

次に、ワームはその活動を隠すために次の偽のメッセージを表示します。

広がる

インストールされたFIX2001.EXEのコピーから実行されると、ワームは "AMORE_TE_AMO"識別ウィンドウの見出しを使用して自身をシステムサービスプロセスとして登録し（そのウィンドウを非表示にし、ユーザーのログオフ時にアクティブ状態を維持します） WSOCK32.DLLインターネット接続ライブラリにアクセスできます。 "connect"と "send"関数のアドレスを取得します。ワームの売春斡旋業者にコール命令でそれらをパッチする。隠されたアプリケーションとしてWindowsのメモリにとどまります。

インターネット接続が有効になると、ワームは送受信されるデータをスキャンし、そこからインターネットアドレスを取得し、感染したメッセージをこれらのアドレスに送信します。

ペイロード

ワームは、非常に危険なペイロードを持ち、ワーム本体のテキスト文字列がパッチまたは破損したときにアクティブになります（インターネットチャネルを介してデータが転送されるため可能です）。このように、このワームは、C：COMMAND.COMファイルを次のコンピュータの再起動時にハードドライブ上のすべてのデータを消去するDOSトロイの木馬で上書きします。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com